Cisco Systemsは、同社の製品「Digital Network Architechture Center」(DNA Center)を利用している顧客に対して、3件の重大な脆弱性を修正した新しいバージョンをインストールするよう警告している。これらの脆弱性が悪用されると、企業ネットワークへのリモートからのアクセスが可能になる。
Ciscoは米国時間5月16日、過去数カ月間にリリースしたバージョンのDNA Centerで、過去のバージョンに存在する深刻なセキュリティホールを修正していたことを明らかにした。
バージョン1.1.3よりも前のDNA Centerには、共通脆弱性評価システム(CVSS)バージョン3のベーススコアが10.0の脆弱性が3件存在する。このスコアは、深刻度が最大であることを意味している。
このうち2件のバグは、同社の社内監査で発見された。1つめのバグは、認証情報がハードコーディングされている、非公表のデフォルト管理者アカウントが存在するというものだ。
この脆弱性(CVE-2018-0222)が悪用されると、認証情報を知っているリモートの攻撃者が、管理者権限でログインしてコマンドを実行することが可能になる。
この問題は、3月にリリースされたDNA Centerバージョン1.1.3で修正されている。DNA Centerにはその後、バージョン1.1.4と1.1.5がリリースされており、これらのバージョンには脆弱性は影響しない。
2つめの脆弱性(CVE-2018-0271)は、特別に細工されたURLを利用することで認証を迂回できるというもので、バージョン1.1.2よりも前のDNA Centerにこの脆弱性が存在する。
3つ目の脆弱性(CVE-2018-0268)は、顧客の協力で発見されたもので、DNA Centerの「Kubernetes」コンテナ管理サブシステムに影響する。
このセキュリティホールは、安全ではないデフォルト設定を悪用することで、Kubernetesのサービスポートにアクセスし、昇格した特権でコマンドを実行できるというものだ。この脆弱性は、DNA Centerバージョン1.1.4以降では修正されている。
Ciscoは5月17日に、全部で16件の脆弱性を修正するパッチを公開している。上記3件のほか、深刻度「高」の脆弱性4件、深刻度「中」の脆弱性3件を修正した。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
